Мудрый Экономист

Как добиться эффективного взаимодействия второй и третьей линий защиты

"Внутренний контроль в кредитной организации", 2014, N 4

Какие цели и задачи стоят перед подразделениями, выполняющими в банке функцию второй и третьей линий контроля <1>? Каким образом результат работы каждой линии защиты может быть использован другой? Как посредством такого взаимодействия создать прочный фундамент для крепкой защиты банка и при заданном риск-аппетите получить хорошие темпы прироста рентабельности инвестированного капитала?

<1> Далее в статье будет использоваться термин "линии защиты", который является максимально точным переводом английского словосочетания three lines of defense model.

Изначально функция внутреннего контроля, или комплаенс-контроля, была определена Базельским комитетом по банковскому надзору в 2005 г. <2>. А за четыре года до этого БКБН опубликовал ключевые принципы, излагающие функционал внутреннего аудита <3>, которые были усовершенствованы в 2012 г. <4>.

<2> Compliance and the compliance function in banks, April 2005.
<3> Internal audit in banks and the supervisor's relationship with auditors, August 2001.
<4> The internal audit function in banks, June 2012.

Банку России потребовались долгие девять лет, чтобы "навести резкость" и прийти к пониманию, что внутренний контроль и внутренний аудит - это, как говорится, "из разных опер". Только в январе 2014 г. начали действовать изменения в Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", в которых поименованы отдельные подразделения контроля, рисков, аудита. Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П) было пересмотрено регулятором только в первой половине 2014 г. и начало действовать с 20 июля 2014 г.

Именно этот временной гэп значительно затормозил развитие систем внутреннего контроля и корпоративного управления кредитных организаций в нашей стране. То, что в зрелых иностранных компаниях уже более десятка лет (а на самом деле еще дольше - на зарубежных конференциях я знакомилась с коллегами, которые работают внутренними аудиторами около 30 (!) лет) воспринимается как норма и the must, будет еще долго усваиваться российским топ-менеджментом, требовать отдельных пояснений и красивых презентаций на тему "В чем отличие контроля от аудита".

Тем не менее лучше поздно, чем никогда, и к 1 октября 2014 г. все кредитные организации, осуществляющие деятельность на территории Российской Федерации, были обязаны внести изменения в уставные и учредительные документы, ввести в организационные структуры отдельные службы внутреннего контроля, внутреннего аудита, рисков. Безусловно, каждая служба должна иметь руководителя и пул документов, регламентирующих ее деятельность. Обо всех существенных изменениях в системе внутреннего контроля кредитной организации следовало проинформировать Банк России.

Линии защиты

Прежде всего стоит упомянуть, что описываемая далее модель организации работы подразделений, выполняющих функцию второй и третьей линий защиты, по мнению автора, может быть применена в работе любой финансовой организации, деятельность которой лицензируется и контролируется мегарегулятором, то есть Банком России.

Вторая линия - подразделение рисков и служба внутреннего контроля

По мнению автора, вторая линия защиты - это подразделение рисков (в терминах Банка России - "служба рисков") и служба внутреннего контроля (далее - внутренний контроль). И только. Все прочие - юридические, залоговые, операционно-бухгалтерские службы, подразделения, выполняющие функции информационной и экономической безопасности, контроль ПОД/ФТ (по сути, почти все, кроме фронт-подразделений и операционных подразделений типа маркетинга и стратегов), по мнению автора, относятся к первой линии защиты. Эта защита постоянна, ежедневна, а иногда осуществляется в онлайн-режиме.

К основному функционалу внутреннего контроля относится управление регуляторным риском, то есть риском возникновения у кредитной организации убытков из-за несоблюдения законодательства РФ, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными), а также убытков в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов. Вспомним о действующем и поныне Письме Банка России от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах", которое дает определение еще одному виду риска - правовому.

Правовой риск - это риск возникновения у кредитной организации убытков вследствие влияния ряда внутренних и внешних факторов, например:

До тех пор, пока регулятор не упразднил этот документ, по мнению автора, рассматривать правовой риск следует как составную часть регуляторного риска и определять особенности его управления в рамках общих процедур управления регуляторным риском кредитных организаций банковской группы. Наиболее целесообразно организовывать управление регуляторным риском посредством:

Список перечисленных мер не является закрытым. Несмотря на наличие единых правил регулятора, каждая кредитная организация по-своему уникальна, применяет различные банковские технологии, обладает отличающимся набором рисков и, что самое главное, различным уровнем принятия этих рисков. Таким образом, для обеспечения хороших темпов прироста рентабельности инвестированного капитала (Return On Invested Capital, ROIC) при заданном риск-аппетите (в отношении всех видов риска, присущих деятельности банка) менеджмент каждого банка, учитывая специфику его деятельности, должен определить набор наиболее приемлемых инструментов контроля и управления регуляторным риском. Например, задачи внутреннего контроля кредитных организаций банковской группы "Открытие" несколько шире и глубже, чем трактует регулятор в Положении N 242-П (еще раз спасибо ему за то, что не установил жестких рамок, как именно следует реализовывать функционал внутреннего контроля), и можно уверенно утверждать, что это даст только положительный результат даже на коротком временном горизонте.

Третья линия - внутренний аудит

Банк России в Положении N 242-П (п. п. 4.1.1 - 4.1.8) подробно расписал функционал данного подразделения: тут и контроль активов, и тестирование, и достоверность бухгалтерского учета, и оценка методологии банковских рисков, заканчивая "проверкой деятельности службы внутреннего контроля кредитной организации и службы управления рисками кредитной организации". Учитывая, что внутренний аудитор - профессия в России новая, автор рекомендует изучать и применять опыт наших зарубежных коллег и те практики/методологию/стандарты, которые можно найти в профессиональной литературе по данной области (к сожалению для многих, она в основном на английском языке, но, к счастью, не испорчена некачественным переводом и дает стимул хорошо выучить английский хотя бы для этой цели).

Для себя автор формулирует основную задачу внутреннего аудита более системно: через аудит бизнес-процессов, предоставление топ-менеджменту и акционеру независимой оценки эффективности внутреннего контроля, системы риск-менеджмента и корпоративного управления. Таким образом, перед внутренним аудитом стоит более сложная (и бесконечно интересная) интеллектуальная проблема, требующая постоянного решения. Ключевым в приведенном выше определении является бизнес-процесс. Например, объектом проверок внутреннего аудита банковской группы и банковского холдинга "Открытие" являются именно процессы.

В деловой литературе вы найдете много умных определений о том, что такое бизнес-процесс. Вот одно из них: "Совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для потребителей". На первый взгляд не совсем ясно, как правильно соотнести это с аудитом. Причем с любым аудитом. Например, Банк России справедливо полагает, что с какой-то периодичностью внутренний аудит должен подвергать проверкам качество выполнения банком обязательных нормативов ликвидности. Как правило, подобная задача решается подразделениями "внутреннего аудита" кредитных организаций посредством пересчета этих самых нормативов с четким ориентиром на то, что есть непреложные требования Банка России, регламентирующие порядок их расчета. Если выявляют ошибки, то дают рекомендации: исправить, устранить.

Выше внутренний аудит заключен в кавычки сознательно, так как в понимании автора это, конечно, не аудит, а ревизия и контроль. Процессный аудит подразумевает, что вы будете мыслить выходя за рамки предложенного. Например, если руководитель поставил задачу своим внутренним аудиторам оценить эффективность бизнес-процесса подготовки подразделениями банка расчета обязательных нормативов ликвидности, то упражнение по их расчету-пересчету будет лишь одним из немногих аудиторских тестов, которые им предстоит выполнить. Важнее сделать в целом оценку подходов банка к управлению риском ликвидности, начиная от точки входа данного бизнес-процесса и завершая точкой выхода. Раскрытие подходов к оценке эффективности процессов не является целью данной статьи, но заметим, что внутреннему аудиту следует заранее (еще до начала аудиторской проверки или в начале ее) определить, какими критериями он будет измерять эту эффективность. Как правило, это сложность процесса (включая оценку достаточности контролей, так как контроли могут быть излишними), отсутствие/наличие разрывов в процессе, его стоимость, клиентоориентированность и регламентированность.

Взаимодействие как сотрудничество

Рассмотрев задачи второй и третьей линий защиты, можно перейти к их взаимодействию. Реализовать его возможно следующим образом.

Например, внутреннему аудиту целесообразно для целей собственного risk-assessment обращать внимание на слабые зоны в процессах, которые подвержены значительному регуляторному риску и, соответственно, до этого были проанализированы/протестированы внутренним контролем. Кстати, этим упражнением внутренний аудит может одновременно убить двух зайцев: получить лучшее понимание рисков и дать оценку качества работы внутреннего контроля, выполнив рекомендацию-требование Банка России в части проверки деятельности службы внутреннего контроля.

Дополнительно вспомним право внутреннего аудита в случае необходимости привлекать к своим проверкам любое подразделение и (или) сотрудника. Грех это не использовать во благо: выстроите взаимодействие внутреннего аудита таким образом, чтобы в некоторые его проверки были вовлечены сотрудники внутреннего контроля (например, для целей тестирования). Вероятно, многие читатели сейчас возмутятся: "Как же так! Внутренний контроль сам является объектом проверок, тут неминуемо возникнет конфликт интересов". Не возникнет, если построить работу грамотно. Внутреннему аудиту нужны "руки" внутреннего контроля. При этом даже шаблоны тестов должны быть самостоятельно подготовлены внутренним аудитом, и соответствующие выводы по результатам тестирования должен независимо и объективно делать только внутренний аудит.

Для усиления взаимодействия можно и даже необходимо использовать такие инструменты, как встречи, обсуждения результатов ключевых проверок. Создайте общий комитет под эгидой "Сделаем нашу компанию лучше и прибыльней", устраивайте конференции. Например, в группе компаний "Открытие" в июле 2014 г. прошла двухдневная конференция по внутреннему контролю и аудиту. Это сплотило команды внутреннего контроля и внутреннего аудита и позволило сгенерировать много полезных идей, которые планируется реализовать в 2014 - 2015 гг.

Вырабатывайте стратегию вашего дальнейшего развития совместно. Подключите подразделение рисков. Не будем здесь описывать варианты возможного взаимодействия с ними, просто помните: они есть, их много, и их нужно в полной мере применять.

На самом деле ко всему, о чем написано выше, больше подходит слово "сотрудничество". Без сомнения, именно сотрудничество, тесное и постоянное, создаст прочный фундамент для крепкой защиты вашей компании или банка. В итоге это будет способствовать приросту ROIC - одного из наиболее привлекательных показателей с точки зрения инвесторов и акционеров.

Н.С.Андреева

Глава внутреннего аудита

ОАО "Открытие Холдинг"